[转载]ISA 2000的访问策略和规则
<P>信息来源:windows 中文站</P><P><SPAN class=postbody>这个ISA 2000的访问策略和规则,只要依照这个顺序检查你的设置,基本上可以设置正确 <BR><BR>关于VPN: <BR>1.允许防火墙内用户拨出到外部VPN服务器设置方法: <BR>右键点击IP packet filter --属性--PPTP--打钩"PPTP Throught ISA Firewall" <BR>重新启动防火墙就可以了 <BR>2.使用ISA 作为VPN服务器,有向导工具: <BR>右键点击"network configuration"---Setup Local ISA VPN Server"系统会提示必须启动本地的"RRAS"服务,点击是。然后防火墙会建立相应的规则。重新启动防火墙即可 <BR>拨入账户的权限需在Windows 2000 Server 用户管理器中赋予相应的拨入权限即可 <BR><BR>关于Ping命令: <BR><BR>1.允许防火墙内网用户ping 外网: <BR>右键点击IP packet filter --属性--general- Enable packet filtering和 Enable Ip routing都打勾,重新启动防火墙就可以了 <BR>2.允许Internet Ping防火墙外网: <BR><BR>安装完成后默认的允许规则不要变,在Ip packet filter中添加一条预先定义的协议规则: <BR>ICMP ping query <BR>重新启动防火墙即可. <BR><BR>关于MSN: <BR>MSN中要使用Https协议,如果做了安全策略,但是要使用MSN,记住,一定要允许三个协议: <BR>1. Https (很多人忘记了这一点) <BR>2. MSN <BR>3.Windows Messenger <BR><BR>还需要作到: <BR>1.Ip packet filer 中且不能禁止443端口,不需要开放.但不能禁止 <BR>2.安装Fwc 或者使用代理 <BR><BR>使用Windows Messenger和/或MSN Messgener进行文件传输,必须开通端口6681-6900。如果这些端口被防火墙封锁,文件传输就无法进行。但是封锁这些端口不会影响即时消息传输。端口1863开通是即时消息传输所必须的。 <BR>并且这些端口定义为secondary connection就行,ISA会自动打开相关的端 <BR><BR><BR><BR><BR><BR>关于防火墙对于一个内部请求: <BR><BR>1.也就是说,对于一个客户端的Internet请求,既要允许协议规则,且不能拒绝;要允许站点及内容规则,且不能拒绝;Ip 数据报筛选器不能拒绝;那么防火墙就允许此请求 <BR>2.对于IP filter ,只要不禁止某一个端口数据,并不需要允许。 <BR><BR>3.对于ISA 服务器而言,一定要开放相应的Ip filter,服务器才可以进行相应的Internet程序;比如虽然允许所有的协议,站点及内容的访问,但是并没有在Ip filter 开通outbound 80的端口,服务器仍然不能上网;但是客户端却可是上网。 <BR><BR>4.对于FWC客户端而言,只要允许所有的协议,那么都可以通过;但是对于Snat而言,一些特殊的协议,(使用特殊的端口,如5589等或者报税机器,需要连接特定的端口),就会失败;那么需要在Procotol里面自定义一条协议,就可以允许Snat通过ISA服务器和Internet连接。 <BR><BR>本文来自: <BR><A href="http://www.isacn.org/bbs/index.php?showtopic=9238" target=_blank>[url]http://www.isacn.org/bbs/index.php?showtopic=9238[/url]</A></SPAN><SPAN class=postbody><BR></SPAN></P>
页:
[1]